Home
Onderstaande bijdrage is van een externe partij. De redactie van Computable is niet verantwoordelijk voor de geboden informatie.

Consumerization of IT: de gevolgen voor beveiliging

Digital Rights Management wordt cruciaal

Microsoft Cloud Computing

IT aanbieden via de cloud heeft verstrekkende gevolgen voor de manier waarop de business IT-diensten afneemt, en daarmee ook op de beveiliging van deze IT. Beveiliging is geen IT-vraagstuk meer, maar een businessvraagstuk. Dat vraagt een andere benadering.

Cloud computing betekent een andere manier van aanbieden van IT. Zoals we in eerdere artikelen al schetsten, staat selfservice centraal (zie Cloud als nieuw businessmodel). De business kan uit een overzicht van beschikbare applicaties kiezen welke ze wil gebruiken. Dit betekent dat gebruikers beter worden gefaciliteerd en meer aan het roer komen te staan. We noemen dit ook wel de ‘consumerization of IT'.

Hoewel de meeste IT-afdelingen nog lang niet zo ver zijn, beseffen CIO's wel dat ze in deze ontwikkeling mee moeten gaan en dit moeten faciliteren. Wat niet iedereen zich even goed realiseert, is dat dit grote gevolgen heeft voor de beveiliging van data. Dit is niet langer een IT-vraagstuk, maar wordt een directievraagstuk.

Data classificeren

"Je ziet dat Het Nieuwe Werken een belangrijke driver is voor cloud computing. Medewerkers worden flexibel en kunnen waar en wanneer ze maar willen bij hun applicaties, met hun vaste pc, laptop, smartphone of tablet. Daar moet IT op inspelen. Daarbij draait het niet alleen om de vraag welke gebruikers op welke devices willen werken, maar ook met welke data zij werken", zegt Olivier van Noort, product marketing manager voor Windows op de zakelijke markt. "Het is namelijk niet meer mogelijk om - zoals vroeger - de hele omgeving van buitenaf af te schermen. Dat betekent dat je de beveiliging op het niveau van de data moet regelen."

Van Noort onderscheidt drie klassen van data:

  • - superconfidentiële gegevens die nooit en te nimmer op straat mogen komen te liggen;
  • - niet gevoelige informatie die zonder grote risico's volledig opengesteld mag worden;
  • - data in het schemergebied daar tussenin.

"Het is verstandig dat IT toezicht houdt op de zeer vertrouwelijke informatie. Denk daarbij aan intellectual property of bepaalde gevoelige data van HR. Het gaat om maar een heel klein deel van alle beschikbare gegevens, maar met een heel hoog risico als deze uitlekken. Net als in het verleden geldt voor deze data ook in een cloudomgeving dat IT hier toezicht op zou moeten houden en er verantwoordelijk voor is dat deze informatie optimaal is beveiligd", zegt Van Noort.

Aan de andere kant van het spectrum bevindt zich de niet-gevoelige informatie. In de meeste organisaties valt e-mail in deze categorie. Die organisaties vinden het geen probleem als medewerkers massaal op smartphones hun mail ontvangen. "Natuurlijk verwachten ze wel dat medewerkers hun smartphone beveiligen met een wachtwoord, maar er is geen man overboord als een e-mail per ongeluk toch wordt gelezen door iemand voor wie die informatie niet bestemd is." Het merendeel van de informatie valt in deze categorie.

Tussen deze twee uitersten zit een grijs schemergebied van data die confidentieel is, denk bijvoorbeeld aan klantdata of financiële gegevens, maar waarmee de organisatie geen risico loopt failliet te gaan als deze informatie onverhoopt toch uitlekt. "Wat je zou moeten doen, is de gebruiker laten bepalen hoe streng deze gegevens moeten worden beveiligd. Zet hem aan het roer en laat hem bepalen wie deze gegevens mogen lezen of bewerken", adviseert Van Noort.

Digital rights management

Dit heet digital rights management. Het is een cruciaal onderdeel van cloud computing en ontwikkelingen als Het Nieuwe Werken. Hoewel digital rights management vaak vanuit de technologiekant wordt benaderd, gaat het meer om een cultuurverandering, vindt Van Noort. "Het is belangrijk om bewustzijn over beveiliging in de organisatie te embedden. Alle medewerkers moeten zich van het belang van beveiliging bewust zijn en moeten kunnen inschatten of bepaalde data die ze bijvoorbeeld via e-mail willen versturen extra beveiligd zou moeten worden en zo ja, op welke manier."

Microsoft heeft in de nieuwste versie van Outlook hier voorzieningen voor ingebouwd. Door simpelweg op een icoontje te klikken dat eruit ziet als een ‘verboden in te rijden'-bord, kunnen zij de e-mail beveiligen en kunnen ze bepalen welke rechten de ontvanger heeft, bijvoorbeeld het recht om de mail alleen te lezen maar niet te forwarden of printen.

Het inrichten van digital rights management vergt dat het management van een organisatie beslist welke data in welke categorie valt. Een enorme klus, realiseert Van Noort zich, maar wel van wezenlijk belang. "Security is met ontwikkelingen als Het Nieuwe Werken geen IT-verantwoordelijkheid meer, het is een directieaangelegenheid geworden. Want je moet nu de data zelf gaan beveiligen en niet meer enkel en alleen de infrastructuur en het device."

IT kan hierin wel adviseren, maar neemt niet langer de beslissingen. "IT weet welke technische hulpmiddelen er zijn om dit te realiseren. Daar kunnen zij advies over uitbrengen aan de directie, maar zij zijn niet langer de bepalende factor." De directie bepaalt, vaak in samenwerking met HR omdat dit deels ook een cultuuromslag betreft. "Zij moeten samen een evenwicht vinden tussen controle en vrijheid."

Medewerkerstevredenheid

Zoals gezegd is Het Nieuwe Werken een belangrijke driver voor cloud computing. Microsoft heeft diverse klanten die Het Nieuwe Werken met succes hebben geïmplementeerd. Zij zien dat de medewerkerstevredenheid toeneemt. Logisch, want medewerkers krijgen veel meer vrijheid in waar en wanneer ze hun werk doen. Dat heeft weer een grote impact op het succes van de organisatie als geheel", zegt Van Noort.

Dit geeft wederom aan hoe belangrijk het is dat de directie en HR het voortouw nemen. "Uiteindelijk zijn het die twee die beslissen of medewerkers de vrijheid krijgen om resultaatgericht te werken. Zij kunnen die beslissing alleen gefundeerd nemen als zij zich realiseren wat de risico's hiervan zijn op de beveiliging en hoe die risico's afgedekt kunnen worden. Ik zie echter in nog maar heel weinig organisaties dat directie, HR en IT samen over dit soort aspecten om tafel zitten. Hier ligt een duidelijke adviesrol voor IT", vindt Van Noort.

Dat is dan ook zijn belangrijkste advies aan IT-afdelingen: maak je directie en de HR-afdeling bewust van de gevolgen van Het Nieuwe Werken. Stel je proactief op en adviseer hen hoe ze de gebruiker aan het roer kunnen zetten, zonder securityrisico's te lopen. "Zodra IT als stafafdeling onder Financiën valt, zie je dat de nadruk ligt op kosten en dat er te weinig oog is voor de toegevoegde waarde van IT. Dat is jammer, want als er ergens toegevoegde waarde ligt, dan is het wel op dit punt. Organisaties die IT zien als profit center, hebben dit doorgaans sneller in de gaten", constateert Van Noort. Hij vindt dan ook dat onafhankelijk van hun plek in de organisatie, de IT-afdeling niet moet afwachten tot de directie en HR hen om advies vraagt, maar dat ze zelf het initiatief moeten nemen. "Dit is dé kans om je toegevoegde waarde voor de organisatie te bewijzen."

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter
?

Video

Toepassing van de cloud bij Talpa Digital

Applicaties rond tv-formats bij Talpa

Hoe Talpa de kijkers meer betrekt

Samenwerking Talpa met mediapartners

Visie SaaSplaza op veiligheid in de cloud

Visie SaaSplaza op evolutie cloud

SaaSplaza over de cloud-transformatie

SaaSplaza over de cloud-toekomst

Cloud belangrijker voor Winvision

Oplossing Winvision bij Serious Request

Migratie Winvision naar Hyper-V

Keuze Winvision voor Server 2012

Datacenter Breda naar private cloud

Het nieuwe werken bij Gemeente Breda

Migratie virtualisatie-platform Breda

Server 2012 bij Gemeente Breda

Cloud Computing in het onderwijs

Feiten over cloud computing

De gebruiker centraal

De weg naar IT als dienst

Kiezen tussen public of private cloud

Wat is IT on demand?

Duurzame cloud economie

Vertrouwde cloud omgeving

Beginnen met de cloud